Компания Disqus, предоставляющая сервис комментирования для web-сайтов и блогов, сообщила, что стала жертвой взлома в июле 2012 года, в результате которого в руки хакеров попали данные более 17,5 млн пользователей.
Похищенная информация, хранившаяся в незашифрованном виде, включала адреса электронной почты, логины, сведения о датах регистрации и датах последней авторизации в сервисе.
Злоумышленникам также удалось получить доступ к паролям порядка 30% пострадавших пользователей, зашифрованных с помощью алгоритма SHA-1. По словам представителей компании, скомпрометированная информация датируется 2007 – 2012 годами. Об утечке данных стало известно 5 октября нынешнего года после того, как известный специалист в области кибербезопасности Трой Хант (Troy Hunt) получил в распоряжение копию похищенной базы данных и проинформировал об этом компанию. Disqus уже начала рассылать пользователям соответствующие предупреждения с требованием переустановить пароли.
«Хотя пароли хранились в зашифрованном виде, существует риск, что они могут быть расшифрованы (даже если это маловероятно). В качестве меры безопасности мы сбросили пароли затронутых пользователей. Мы рекомендуем пользователям переустановить пароли, если они используются в других сервисах», – отметил технический директор Disqus Джейсон Ян (Jason Yan). Он также добавил, что с 2012 года компания использует более надежный алгоритм для хэширования паролей Bcrypt.
В настоящее время неизвестно, как именно хакерам удалось получить доступ к базе данных Disqus. Расследование инцидента продолжается. Disqus – web-сервис, предоставляющий возможность импорта интернет-обсуждений и комментариев на сайт пользователя. Сервис основан в 2007 году. Его используют более 750 тысяч блогов и web-сайтов, а также интернет-порталы новостных изданий, в том числе CNN, Daily Telegraph, IGN и пр.